Acceso a red privada mediante integración de red virtual para Azure Database for MySQL: servidor flexible
SE APLICA A: Azure Database for MySQL: servidor flexible
En este artículo se describe la opción de conectividad privada para Azure Database for MySQL: servidor flexible. Aprenda en detalle los conceptos de red virtual para Azure Database for MySQL: servidor flexible a fin de crear un servidor de forma segura en Azure.
Acceso privado (integración de red virtual)
Azure Virtual Network) es el bloque de creación básico de una red privada en Azure. La integración de red virtual con Azure Database for MySQL: servidor flexible aporta las ventajas de seguridad y aislamiento de red de Azure.
La integración de red virtual para una instancia de Azure Database for MySQL: servidor flexible le permite bloquear el acceso al servicio únicamente a la infraestructura de red virtual. La red virtual puede incluir todos los recursos de aplicación y base de datos en una sola red virtual o puede extenderse entre redes virtuales diferentes en la misma u otra región. La conectividad fluida entre varias redes virtuales se puede establecer mediante el emparejamiento, que usa la infraestructura troncal privada de baja latencia y ancho de banda alto de Microsoft. A efectos de conectividad las redes virtuales aparecen como una sola.
Azure Database for MySQL: Servidor flexible admite la conectividad de cliente desde:
- Redes virtuales dentro de la misma región de Azure (redes virtuales emparejadas localmente)
- Redes virtuales entre regiones de Azure (redes virtuales emparejadas globales)
Las subredes le permiten segmentar la red virtual en una o varias subredes y asignar una parte del espacio de direcciones de la red virtual donde puede implementar posteriormente recursos de Azure. Azure Database for MySQL: Servidor flexible requiere una subred delegada. Una subred delegada es un identificador explícito de que una subred puede hospedar solamente instancias de Azure Database for MySQL: servidor flexible. Al delegar la subred, el servicio obtiene permisos directos para crear recursos específicos del servicio para administrar sin problemas la instancia de Azure Database for MySQL: servidor flexible.
Nota:
El intervalo CIDR más pequeño que puede especificar para que la subred hospede el servidor flexible de Azure Database for MySQL es /29, que proporciona ocho direcciones IP. Sin embargo, la primera y la última dirección de cualquier red o subred no se pueden asignar a ningún host individual. Azure reserva cinco direcciones IP para uso interno de las redes de Azure, incluidas las dos direcciones IP que no se pueden asignar a un host. Esto deja tres direcciones IP disponibles para un intervalo CIDR /29. Para el servidor flexible de Azure Database for MySQL, es necesario asignar una dirección IP por nodo desde la subred delegada cuando se habilita el acceso privado. Los servidores habilitados para alta disponibilidad requieren dos direcciones IP, y un servidor que no es de alta disponibilidad requiere una dirección IP. Se recomienda reservar al menos dos direcciones IP por instancia de Azure Database for MySQL: servidor flexible, ya que las opciones de alta disponibilidad se pueden habilitar más adelante. Azure Database for MySQL: Servidor flexible se integra con zonas DNS privadas de Azure para proporcionar un servicio DNS confiable y seguro para administrar y resolver los nombres de dominio en una red virtual sin necesidad de agregar una solución DNS personalizada. Una zona DNS privada se puede vincular a una o varias redes virtuales mediante la creación de vínculos de red virtual
En el diagrama anterior:
- Las instancias de Azure Database for MySQL: servidor flexible se insertan en una subred delegada: 10.0.1.0/24 de red virtual VNet-1.
- Las aplicaciones implementadas en subredes diferentes dentro de la misma red virtual pueden acceder directamente a las instancias de Azure Database for MySQL: servidor flexible.
- Las aplicaciones implementadas en otra red virtual VNet-2 no tienen acceso directo a instancias de Azure Database for MySQL: servidor flexible. Para que puedan acceder a una instancia, debe realizar un emparejamiento de red virtual de zona DNS privada.
Conceptos de Virtual Network
Estos son algunos conceptos que debe conocer al usar redes virtuales con instancias de Azure Database for MySQL: servidor flexible.
Red virtual -
Una red virtual de Azure contiene un espacio de direcciones IP privadas configurado para su uso. Para obtener más información sobre las redes virtuales de Azure, visite la Información general sobre Azure Virtual Network.
La red virtual debe estar en la misma región de Azure que la instancia de Azure Database for MySQL: servidor flexible.
Subred delegada -
Una red virtual contiene subredes (redes secundarias). Las subredes permiten segmentar la red virtual en espacios de direcciones más pequeños. Los recursos de Azure se implementan en subredes específicas dentro de una red virtual.
La instancia de Azure Database for MySQL: servidor flexible debe estar en una subred que esté delegada solo para Azure Database for MySQL: servidor flexible. Esta delegación significa que solo las instancias del servidor flexible de Azure Database for MySQL pueden usar esa subred. No puede haber otros tipos de recursos de Azure en la subred delegada. Puede delegar una subred si asigna su propiedad de delegación como Microsoft.DBforMySQL/flexibleServers.
Grupos de seguridad de red (NSG)
Las reglas de seguridad de grupos de seguridad de red permiten filtrar el tipo de tráfico de red que puede fluir dentro y fuera de las interfaces de red y las subredes de redes virtuales. Revise la Introducción a los grupos de seguridad de red para obtener más información.
Integración de zonas DNS privadas
La integración de la zona DNS privada de Azure permite resolver el DNS privado dentro de la red virtual actual o en cualquier red virtual emparejada en la región en la que esté vinculada la zona DNS privada.
Interconexión de red virtual
El emparejamiento de red virtual le permite conectar sin problemas dos o más redes virtuales en Azure. A efectos de conectividad las redes virtuales emparejadas aparecen como una sola. El tráfico entre las máquinas virtuales de la red virtual emparejada usa la infraestructura de la red troncal de Microsoft. El tráfico entre la aplicación cliente y la instancia de Azure Database for MySQL: servidor flexible en redes virtuales emparejadas se enruta solo a través de la red privada de Microsoft y está aislado a esa red.
Uso de una zona DNS privada
Si usa Azure Portal o la CLI de Azure para crear instancias de Azure Database for MySQL: servidor flexible con red virtual, se aprovisiona automáticamente una nueva zona DNS privada, que termina en
mysql.database.azure.com
, por servidor de la suscripción con el nombre de servidor proporcionado. Alternativamente, si desea configurar su propia zona DNS privada con la instancia de Azure Database for MySQL: servidor flexible, consulte la documentación de información general de DNS privada.Si usa la API de Azure, una plantilla de Azure Resource Manager (plantilla de ARM) o Terraform, cree zonas DNS privadas que terminen en
mysql.database.azure.com
y úselas al configurar instancias de Azure Database for MySQL: servidor flexible con acceso privado. Para más información, consulte la información general sobre las zonas DNS privadas.Importante
Los nombres de las zonas DNS privadas deben terminar por
mysql.database.azure.com
. Si se va a conectar a una instancia de Azure Database for MySQL: servidor flexible con SSL y usa una opción para realizar la comprobación completa (sslmode=VERIFY_IDENTITY) con el nombre de sujeto del certificado, use <servername>.mysql.database.azure.com en la cadena de conexión.
Aprenda a crear una instancia de Azure Database for MySQL: servidor flexible con acceso privado (integración de red virtual) en Azure Portal o la CLI de Azure.
Integración con un servidor DNS personalizado
Si usa el servidor DNS personalizado, debe usar un reenviador DNS para resolver el FQDN de la instancia de Azure Database for MySQL: servidor flexible. La dirección IP del reenviador debe ser 168.63.129.16. El servidor DNS personalizado debe estar dentro de la red virtual o bien debe poder accederse a él a través de la configuración del servidor DNS de la red virtual. Para obtener más información, consulte Resolución de nombres con un servidor DNS.
Importante
Para el aprovisionamiento correcto de la instancia de Azure Database for MySQL: servidor flexible, incluso si usa un servidor DNS personalizado, no debe bloquear el tráfico DNS a AzurePlatformDNS con NSG.
Zona DNS privada y emparejamiento de red virtual
La configuración de la zona DNS privada y el emparejamiento de red virtual son independientes entre sí. Para obtener más información sobre cómo crear y usar zonas DNS privadas, consulte la sección Uso de zonas DNS privadas.
Si quiere conectarse a la instancia de servidor flexible de Azure Database for MySQL desde un cliente que se aprovisiona en otra red virtual desde la misma u otra región, debe vincular la zona DNS privada con la red virtual. Vea la documentación de cómo vincular la red virtual.
Nota:
Solo se pueden vincular los nombres de zonas DNS privadas que terminan con mysql.database.azure.com
.
Conexión desde un servidor local a una instancia de Azure Database for MySQL: servidor flexible en una red virtual mediante ExpressRoute o VPN
En el caso de cargas de trabajo que requieran acceso a una instancia de Azure Database for MySQL: servidor flexible en una red virtual desde una red local, es necesario disponer de ExpressRoute o VPN y de una red virtual conectados al entorno local. Con esta configuración en su lugar, necesitará un reenviador DNS para resolver el nombre de la instancia de Azure Database for MySQL: servidor flexible si desea conectarse desde la aplicación cliente (como MySQL Workbench) que se ejecuta en redes virtuales locales. Este reenviador DNS es responsable de resolver todas las consultas de DNS a través de un reenviador de nivel de servidor en el servicio DNS proporcionado por Azure 168.63.129.16.
Para realizar la configuración correctamente, necesitará los siguientes recursos:
- Una red local.
- Una instancia de Azure Database for MySQL: servidor flexible aprovisionada con acceso privado (integración de red virtual).
- Una red virtual conectada al entorno local.
- Uso del reenviador de DNS 168.63.129.16 implementado en Azure.
A continuación, puede usar el nombre del servidor (FQDN) de Azure Database for MySQL: servidor flexible para conectarse desde la aplicación cliente de la red virtual emparejada o la red local a la instancia de Azure Database for MySQL: servidor flexible.
Nota:
Se recomienda usar siempre un nombre de dominio completo (FQDN) <servername>.mysql.database.azure.com
en las cadenas de conexión al conectarse a la instancia de Azure Database for MySQL: servidor flexible. No se garantiza que la dirección IP del servidor permanezca estática. El uso del FQDN le ayudará a evitar realizar cambios en la cadena de conexión.
Escenarios de red virtual no admitidos
- Punto de conexión público (o IP pública o DNS): una instancia de Azure Database for MySQL: servidor flexible implementada en una red virtual no puede tener un punto de conexión público.
- Una vez que se haya implementado la instancia de Azure Database for MySQL: servidor flexible en una red virtual y una subred, no se puede trasladar a otra red virtual o subred. No se puede trasladar la red virtual a otro grupo de recursos o suscripción.
- La configuración de integración de DNS privado no se puede cambiar después de la implementación.
- No se puede aumentar el tamaño de la subred (espacios de direcciones) después de que existan recursos en la subred.
Traslado de una red de acceso privado (integrada en red virtual) a acceso público o vínculo privado
El servidor flexible de Azure Database for MySQL puede pasar del acceso privado (red virtual integrada) al acceso público, con la opción de usar Private Link. Esta funcionalidad permite a los servidores cambiar de la red virtual integrada a la infraestructura de Private Link o pública sin problemas, sin necesidad de modificar el nombre del servidor ni de migrar datos, lo que simplifica el proceso para los clientes.
Nota:
Una vez realizada la transición, no se puede revertir. La transición implica un tiempo de inactividad de aproximadamente 5-10 minutos para los servidores que no son de alta disponibilidad y unos 20 minutos para los servidores habilitados para alta disponibilidad.
El proceso se realiza en modo sin conexión y consta de dos pasos:
- Desasociación del servidor de la infraestructura de red virtual.
- Establecimiento de Private Link o habilitación del acceso público.
- Para obtener instrucciones sobre la transición de la red de acceso privado a acceso público o Private Link, visite Traslado del acceso privado (red virtual integrada) al acceso público o Private Link con Azure Portal. Este recurso ofrece instrucciones paso a paso para facilitar el proceso.